Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。

Organization のセキュリティおよび分析設定を管理する

GitHub 上の Organization のプロジェクトでコードを保護し分析する機能を管理できます。

この機能を使用できるユーザー

Organization owners can manage security and analysis settings for repositories in the organization.

セキュリティおよび分析設定の管理について

GitHub を使用して、Organization のリポジトリを保護できます。 Organization でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。

セキュリティと分析の設定を表示する

  1. GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。 2. 組織の隣の [設定] をクリックします。

    [設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。

  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

表示されるページでは、Organization 内のリポジトリのすべてのセキュリティおよび分析機能を有効化または無効化にできます。

GitHub Advanced Security のライセンスを持っている場合、ページには Advanced Security 機能を有効化または無効化するオプションも含まれます。 GitHub Advanced Security を使用するリポジトリは、ページの下部に一覧表示されます。

既存のすべてのリポジトリの機能を有効または無効にする

すべてのリポジトリの機能を有効化または無効化できます。

注: GitHub Advanced Security を有効にした場合、これらのリポジトリに対するアクティブなコミッターは、GitHub Advanced Security のライセンスを使います。 ライセンスの容量を超えた場合、このオプションは非アクティブになります。

注: "Organization のポリシー設定が原因で、GitHub Advanced Security を有効にできません" というエラーが発生した場合は、Enterprise 管理者に問い合わせて、Enterprise の GitHub Advanced Security ポリシーを変更するように依頼してください。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。
  2. [Code security and analysis] の下で機能の右にある [Disable all] または [Enable all] をクリックします。 GitHub Advanced Security に空きライセンスがない場合、"GitHub Advanced Security" のコントロールは無効になります。 [セキュリティと分析の構成] 機能の [すべて有効にする] または [すべて無効にする] ボタン
  3. [すべて有効にする]/[すべて無効にする] または [対象リポジトリの有効化]/[対象リポジトリの無効化] をクリックして、変更を確定します。

既存のリポジトリで1つ以上のセキュリティ及び分析機能を有効化すると、数分のうちにGitHub上に結果が表示されます。

  • 既存のすべてのリポジトリは、選択された設定を持ちます。
  • 新しいリポジトリのチェックボックスをオンにした場合、新しいリポジトリは選択した構成に従います。
  • 有効化すると、Dependabot セキュリティ更新プログラムは、Dependabot alerts がトリガーされたときに、脆弱な依存関係をアップグレードするための pull request を作成します。

新しいリポジトリが追加されたときに機能を自動的に有効化または無効化する

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。
  2. "Code security and analysis(コードのセキュリティと分析)"の下で、機能の右から、Organizationの新しいリポジトリでデフォルトでこの機能を有効化もしくは無効化してください。 新しいリポジトリの機能を有効にするチェックボックスのスクリーンショット

Dependabot のプライベート依存関係へのアクセスを許可する

Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。 これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。

デフォルトでは、Dependabot はプライベートリポジトリまたはプライベートパッケージレジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ Organization 内のプライベート GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。

コードがプライベートレジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。

Dependabot がプライベート GitHub リポジトリにアクセスできるようにするには:

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。

  2. [Dependabot プライベート リポジトリ アクセス] で、 [プライベート リポジトリの追加] または [内部およびプライベート リポジトリの追加] をクリックします。 [リポジトリの追加] ボタン

  3. 許可するリポジトリの名前の入力を開始します。 フィルタされたドロップダウンを持つリポジトリ検索フィールド

  4. 許可するリポジトリをクリックします。

  5. あるいは、リストからリポジトリを差k除するには、リポジトリの右のをクリックします。 リポジトリを削除するための [X] ボタン

Organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する

[設定] タブから、リポジトリの GitHub Advanced Security 機能へのアクセスを管理できます。詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。 ただし、Organization の [Settings] タブから、リポジトリの GitHub Advanced Security 機能を無効にすることもできます。

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。
  2. GitHub Advanced Security が有効になっている Organization 内のすべてのリポジトリのリストを表示するには、「GitHub Advanced Security リポジトリ」セクションまでスクロールします。 [GitHub Advanced Security リポジトリ] セクションテーブルには、各リポジトリの一意のコミッターがリストされています。 これは GitHub Advanced Security へのアクセスを削除することによって解放できる ライセンス の数です。 詳しくは、「GitHub Advanced Security の課金について」を参照してください。
  3. あるリポジトリから GitHub Advanced Security へのアクセスを削除し、そのリポジトリに固有のアクティブ コミッターによって使用されている ライセンス を解放するには、隣にある をクリックします。
  4. 確認ダイアログで、 [リポジトリの削除] をクリックして、GitHub Advanced Security の機能へのアクセスを削除します。

注: リポジトリの GitHub Advanced Security へのアクセスを削除する場合は、影響を受ける開発チームと連絡を取り、変更が意図されたものかを確認する必要があります。 これにより、失敗したコードスキャンの実行をデバッグすることに時間を費すことがなくなります。

参考資料